Tandis que l’« interception légale », est bien documentée, un processus clairement traçable avec une base juridique et qui n’offre aucune surprise, a toujours été bien accepté. De fortes condamnations internationales se sont élevées alors suite à la surveillance et à la découverte de cyberattaques généralisées parrainées par des États. Après un examen impartial c’est un simple brouillage des lignes de la morale bien loin de l’activité illicite des cybercriminels que les entreprises tentent de résoudre continuellement ces deux dernières décennies.

Après les fuites initiales de Snowden, les responsables gouvernementaux se sont dépêchés d’informer les entreprises et le public que PRISM, le projet de surveillance à l’échelle industrielle de la NSA de toutes les données et du trafic audio, n’avait pas été utilisé pour les espionner, et que de toute façon des garanties étaient en place pour s’assurer que leurs données et documents commerciaux ne soient pas compromis. Mais avec le piratage de Gemalto et les rapports que la CIA est désespérée de briser le cryptage d’Apple, les
entreprises peuvent être pardonnées de ne pas être convaincues qu’elles ne sentent pas ciblées.

L’esprit communautaire ouvre des portes dérobées

Bien sûr, ce n’est pas seulement les attaques soutenues des États qui posent problème aux services informatiques de sécurité, des portes dérobées dans les équipements réseau tels que les pare-feu et les passerelles de sécurité doivent également pris en considération. Bien que de nature très différente, les cyber-attaques des failles Heartbleed et Shellshock ont souligné que même les solutions de sécurité les plus robustes peuvent être défaites par une faiblesse dans le codage. En effet, si elles nous ont appris quelque chose, c’était que le test du code de l’open source est bien loin d’être suffisant.

Les deux erreurs de code simples exploités, le type d’erreur que tout développeur peut faire et la principale question n’était pas l’erreur en elle-même, mais plutôt les hypothèses formulées par des milliers de personnes dans le monde quant à l’intégrité et à la sécurité du code de l’open-source. Ces erreurs et hypothèses ont créé des problèmes largement signalés causés par le bogue, faisant les manchettes mondiales et déclenchant une course désespérée pour fermer les vulnérabilités.

Affronter l’inconnu

Que ce soit les attaques soutenues par des États ou un code d’open source erroné intégré dans les solutions de sécurité, le grand défi auquel font face les entreprises est de savoir exactement qui les visent et à quelles fins. Car Gemalto, qui a dû mener une enquête interne approfondie, a prouvé qu’il est presque impossible de savoir si vous êtes la cible d’agences de renseignement vous surveillant. Et bien sûr il n’y a pas de groupe de travail Internet à l’échelle mondiale en matière de sécurité qui activement cherche et ferme les vulnérabilités du code quand elles ont été découvertes.

Il est clair que c’est de plus en plus difficile pour les organisations de savoir en qui peuvent-elles avoir confiance, et surtout en quelles solutions. N’importe quelle organisation de la chaîne d’approvisionnement pourrait à un moment donné être requise de fournir des informations à un État, ce qui pourrait s’avérer de remettre les clés de cryptage de vos données. En même temps une entreprise ne pourrait être qu’un cybercriminel découvrant
le système sur lequel elle s’appuie pour protéger son réseau qui est en fait simplement compromis par une erreur de code.

Alors, que peuvent faire les organisations pour protéger leurs activités commerciales contre les risques de collecte de données des agences de renseignement gouvernementales et de code non testé qui sont déployés dans les solutions de sécurité ?

Premièrement, elles doivent réévaluer la façon dont elles travaillent avec d’autres entreprises. Depuis PRISM, il a été prudent de supposer que les agences de renseignement des superpuissances ont la possibilité de surveiller les entreprises et les particuliers afin de recueillir des informations, apparemment incontrôlées, en utilisant une connaissance approfondie des réseaux, des solutions et des logiciels de sécurité. Armées de cette connaissance les organisations doivent demander des questions gênantes sur qui et comment interagissent-elles avec leurs partenaires et fournisseurs. Peut-on faire réellement confiance aux équipements et logiciels provenant de pays impliqués dans cette collecte d’informations et utilisés pour la sécurité des entreprises ? Est-il vraiment sage d’offrir toute sorte d’accès aux politiques et informations de votre entreprise à celles dont les gouvernements pourraient exiger l’accès, voire infiltrés sans procédure légale, à un moment donné ?

Deuxièmement les entreprises doivent s’assurer que toutes les solutions ont été rigoureusement développées, testées et retestées pour s’assurer qu’il n’y a plus de vulnérabilités. La technologie de l’information doit être une question de confiance, fondée sur une base technique solide. Et cela s’applique aux consommateurs, aux sites majeurs ainsi qu’aux fournisseurs informatiques. Il est clair que les pirates sont parfaitement conscients que les organisations s’appuient sur de vastes quantités de code non testé dans les sites Web, les applications, les solutions de sécurité et plus, leur offrant une pléthore de possibilités à exploiter. Si elles veulent continuer à utiliser et réaliser les avantages de l’open source, il est évident que ce code source ouvert (open-source) doit être vigoureusement testé pour réduire toues les vulnérabilités potentielles avant qu’il ne soit déployé et présumé d’être totalement sûr.

Alors que dans le passé, les entreprises se donnaient une marge d’erreur qui favorisait la confiance, il est évident que celle-ci se réduit rapidement. De PRISM à Gemalto et de
Heartbleed à Shellshock les organisations avaient mis leur foi dans la transparence des États et dans la robustesse du code source ouvert sans vérifier que leur confiance était justifiée ou méritée. Si elles veulent éviter que cela ne se reproduise plus, la confiance non acquise n’est un luxe qu’elles ne peuvent plus tout simplement se permettre.